14.02.2017

Whatsapp, Threema und Signal für dienstliche Zwecke?

Messenger-Dienste wie Whatsapp, Threema oder Signal erfreuen sich nach wie vor großer Beliebtheit auf Smartphones. Nachdem Facebook den beliebten Messenger Whatsapp übernommen hatte, machten beide Unternehmen Schlagzeilen durch den Massenabgleich von Nutzerdaten untereinander. Datenschützer sehen darin eine unberechtigte Datenübermittlung, Facebook sieht Geschäftsinteressen, um die Nutzererfahrung weiter zu verbessern. Alternativen gibt es wie Sand am Meer, doch nur die Snowden-Empfehlung Signal und das europäische Threema haben überhaupt noch eine Chance gegen die hohe Marktdurchsetzung der Silicon Valley-Schöpfung Whatsapp. Was gilt es bei einer dienstlichen Nutzung zu beachten? Ist der Abgleich mit Firmentelefonbüchern möglich?

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Datenschutzanforderungen

Ein erstes mögliches Hindernis für den rechtskonformen Einsatz im Unternehmen stellt die bei allen Messengern stattfindende Datenübermittlung zwischen Anbieter und Endgerät dar, um etwa Telefonnummern oder E-Mail-Adressen aus dem Adressbuch mit Daten auf den Servern abzugleichen. Sowohl bei der Telefonnummer als auch der IP-Adresse handelt es sich um personenbeziehbare Daten. Im Zuge einer professionellen, dienstlichen Nutzung wäre nach § 11 Abs. 1 BDSG hier wohl ein Auftragsdatenverarbeitungsvertrag zwischen dem Anbieter des Dienstes und dem betroffenen Unternehmen erforderlich.
Whatsapp wird hier nicht kooperieren, ebenso Signal und Threema, alle drei stellen in ihren Nutzungsbedingungen die private Nutzung als Anwendungsbereich heraus. Mit „Threema Work“ bietet der Anbieter als einziger eine offizielle, kommerzielle Lösung für den Unternehmenseinsatz bereit. Gerade bei Whatsapp muss zudem davon ausgegangen werden, dass die zu synchronisierenden Daten (z.B. Telefonnummer) an US-Server übermittelt werden. Da der USA kein angemessenes Datenschutzniveau attestiert wird, bleiben also nur die Standardvertragsklauseln und eine Privacy Shield Selbstzertifizierung. Selbst wenn diese Voraussetzungen theoretisch erfüllt wären, ergeben sich weitere Nutzungsvorbehalte einer dienstlichen Nutzung, die auch andere Messenger betreffen: Wie kann der Nutzer (oder in diesem Fall der Arbeitgeber) sicherstellen, dass alle abzugleichenden Kontakte mit dieser Übermittlung einverstanden sind? Der datenschutzrechtliche Grundsatz der Direkterhebung (§ 4 Abs. 2 BDSG) wird sich nicht umgehen lassen. Threema bietet hier zumindest eine sog. Ausschlussliste, womit einzelne Kontakte explizit vom Datenabgleich ausgeschlossen werden können.

Whatsapp und der Betriebsrat

Signal, Threema und WhatsApp bieten Lesebestätigungen einzelner Nachrichten. Eine Funktion, die auf Wunsch abgeschaltet werden kann. Whatsapp bietet zudem – ähnlich den bekannten VOIP-Diensten – eine Statusanzeige, die verrät, ob ein Nutzer online ist. Eine Studie des Fachbereichs Informatik der FAU machte bereits 2014 deutlich, dass sich aus diesem unscheinbaren Datenpunkt allerlei Schlüsse über das individuelle Nutzungsverhalten ziehen lassen. Der Betriebsrat könnte hier also auf sein Mitbestimmungsrecht (§ 87 BetrVG) pochen, um sich zu versichern, dass keine Leistungs- und Verhaltenskontrolle seitens der Vorgesetzten durchgeführt wird.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 3 und 1?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Datensicherheit

Im Ergebnis gestaltet sich der professionelle Einsatz schwierig, was den datenschutzrechtlichen Rahmen angeht. Auch aus Gesichtspunkten der Daten- und IT-Sicherheit sieht man den Diensten an, dass diese nicht für den professionellen Einsatz im Unternehmen entwickelt wurden. Weder Signal, Threema noch Whatsapp bieten Optionen für Mobile Device Management (MDM) oder Schnittstellen für entsprechende Integrationslösungen. Lediglich Threema Work stellt entsprechende Optionen zur Verfügung. Zu Gute halten kann man allen hier genannten Diensten, dass diese jeweils Verschlüsselungsstandards nach dem Stand der Technik einsetzen. Vorausgesetzt, die Sicherheitsfunktionen der Anwendungen (Code-Scan/ID-Abgleich) werden genutzt und eine Man-in-the-Middle Attack wird ausgeschlossen, basiert der Nachrichtenaustausch auf einem deutlich höheren Sicherheitsniveau als der klassische (unverschlüsselte) E-Mailversand.

Weitere Neuigkeiten

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …